Cosa è la Conformità al GDPR
è perché è cosi importante?

Negli ultimi anni la protezione dei dati per tutelare la privacy sia di cittadini che di aziende, costituisce per ovvi motivi un aspetto fondamentale della vita quotidiana, che, data la sua importanza, si riflette anche, e soprattutto, nel mondo digitale; una situazione che spinge le aziende e i liberi professionisti (e come vedremo più avanti anche i privati) ad adeguarsi alla Conformità al GDPR, per i siti che gestiscono.

Ma che cosa si intende, esattamente per conformità al GDPR (o GDPR compliace)? Scopriamolo insieme fornendo, innanzitutto la definizione di GDPR.

Cosa è il GDPR

Il GDPR (General Data Protection Regulation) è il Regolamento Generale sulla Protezione dei Dati dell’Unione Europea che stabilisce norme rigorose e armonizzate per la raccolta, il trattamento e l’uso dei dati personali, dando alle persone un maggiore controllo sui propri dati.

Si applica a qualsiasi organizzazione (anche se ha sede in paesi che non sono membri dell’UE), che tratta i dati di residenti nell’UE, e prevede diritti specifici per le persone (come diritto all’accesso, alla rettifica e alla portabilità dei dati) e obblighi per le aziende, come la necessità di garantire la sicurezza dei dati e di notificare le violazioni.

Il Regolamento Generale sulla Protezione dei Dati, noto ufficialmente come Regolamento (UE) n. 2016/679, è stato adottato il 27 aprile 2016, per essere pubblicato poi sulla Gazzetta Ufficiale dell’Unione europea il 4 maggio 2016, ed è entrato in vigore il 24 maggio dello stesso anno e reso operativo a partire dal 25 maggio 2018.

Fra gli obiettivi principali del GDPR vi sono:

  • Armonizzare le normative, unificando le leggi sulla protezione dei dati in tutta l’UE per creare un quadro uniforme.
  • Rafforzare i diritti delle persone, dandogli maggiore controllo sui propri dati personali, e garantire la loro privacy.
  • Stabilire obblighi chiari, definendo i requisiti che le organizzazioni devono rispettare per il trattamento dei dati, inclusi gli aspetti di sicurezza e trasparenza.

Chi riguarda il GDPR

  • Organizzazioni nell’UE; nello specifico tutte le aziende e le organizzazioni all’interno dello Spazio Economico Europeo (SEE).
  • Organizzazioni extra-UE, comprese le aziende fuori dall’UE che offrono beni o servizi a persone residenti nell’UE o ne monitorano il comportamento.

Diritti dei cittadini:

  • Diritto di accesso – Ottenere informazioni su come i propri dati vengono trattati.
  • Diritto di rettifica – Correggere dati personali inesatti.
  • Diritto alla portabilità dei dati – Ricevere i propri dati in un formato strutturato e trasferirli ad un altro servizio.
  • Diritto all’oblio – Chiedere la cancellazione dei propri dati personali.

Obblighi per le organizzazioni:

  • Ottenere il consenso – Assicurarsi di avere una base legale valida per trattare i dati, come un consenso informato, specifico e revocabile.
  • Garantire la sicurezza – Adottare misure di sicurezza adeguate per proteggere i dati.
  • Gestire le violazioni dei dati – Notificare le autorità e gli interessati entro 72 ore in caso di violazione dei dati personali.

Conformità al GDPR

Alla luce di ciò che è stato detto in precedenza, la conformità al GDPR è l’aderenza alle norme europee che proteggono i dati personali e la privacy dei cittadini dell’UE, indipendentemente dalla sede dell’azienda che tratta tali dati.

La conformità al GDPR (o GDPR Compliance) garantisce alle persone il controllo sui propri dati, crea fiducia, ed evita alle aziende sanzioni finanziarie che possono raggiungere milioni di euro o il 4% del fatturato globale, oltre a evidenti danni alla reputazione aziendale.

Per quanto riguarda il mondo del web, che si regge economicamente sugli annunci pubblicitari, e sul tracciamento dei dati di ogni singolo utente, la tutela della loro privacy, assume un’importanza fondamentale a livello mondiale.

Per comprendere meglio come agire per rendere conforme un sito al GDPR, occorre capire come avviene il tracciamento dei dati attraverso i cookies, di cui si sente parlare spesso, ma purtroppo non sempre in modo chiaro e preciso.

Cosa sono i cookies

Un cookie (dall’inglese “biscotto”) non è altro che un piccolo file di testo, inviato dal browser ogni volta che si naviga su un sito qualsiasi, e che viene memorizzato sul dispositivo dell’utente (computer, smartphone, tablet).

I cookies possono servire per vari scopi:

  • Memorizzare informazioni su una sessione di navigazione (es. prodotti nel carrello per un sito di E-Commerce, lingua scelta nelle preferenze dell’utente, login effettuato).
  • Riconoscere l’utente quando torna sul sito.
  • Raccogliere dati sulle abitudini di navigazione, anche a fini statistici o pubblicitari.

Si intuisce quindi che esistono diverse tipologie di cookie

  1. Cookie tecnici (necessari) – Servono al funzionamento del sito (es. login, carrello, preferenze), e non richiedono consenso per essere utilizzati.
  2. Cookie di preferenza/funzionali – Memorizzano scelte dell’utente (lingua, layout, ecc.).
  3. Cookie statistici/analitici – Raccolgono dati in forma aggregata o anonima (es. Google Analytics), e richiedono consenso (se non vengono anonimizzati, come verrà spiegato più avanti).
  4. Cookie di profilazione/marketing – Tracciano l’utente per mostrare pubblicità personalizzata, e richiedono sempre il consenso esplicito.

In pratica i cookies agiscono come dei “post-it digitali” che un sito lascia nel browser dell’utente per tenere traccia delle sue scelte, per comodità o per fare pubblicità.

Cosa sono i cookies - immagine concettuale.

Per un esempio pratico si consideri il caso in cui una persona cerchi su Google delle informazioni su un nuovo smartphone di una determinata marca, dopo qualche minuto, vedrà su altri siti, anche non inerenti alla ricerca che ha fatto, dei banner pubblicitari riguardanti proprio quel modello di smartphone che ha cercato, magari che contengono link ad uno store on line.

La comparsa di quei banner non sarà affatto frutto di una semplice coincidenza, perché un cookie memorizzato nel dispositivo di quella persona, ha memorizzato l’informazione ritenuta utile: la ricerca di un determinato modello di smartphone, in questo caso; ma poteva benissimo essere un’altra ricerca diversa, come un rasoio elettrico, un aspirapolvere, la nuova stagione concertistica del teatro Massimo di Palermo, la prenotazione di una stanza d’albergo e cosi via.

Cosa occorre per rendere il sito conforme al GDPR

Una volta chiarito cosa sono sono i cookies e a cosa servono, tornando all’aspetto legale, e quindi considerando il raggio d’azione del GDPR, è importante evidenziare che i cookie sono considerati dati personali se permettono di identificare direttamente o indirettamente l’utente.

L’uso di cookies non tecnici, cioè per i quali è previsto il consenso dell’utente al loro utilizzo, richiede una serie di accorgimenti che il proprietario del sito deve attuare, o che comunque dovrà demandare ad un web developer, e che consiste nel disporre, innanzitutto, di un banner informativo al primo accesso dell’utente nel sito (cookie banner), e di assicurarsi che venga applicato il Google Consente Mode.

Il Cookie Banner

Il cookie banner consiste in una finestra informativa che deve svolgere varie funzioni: 

  • fornire la spiegazione della definizione di cookie, a cosa servono, e quali tipi di cookie (es. tecnici, analitici, di profilazione) vengono installati nel dispositivo usato dall’utente.
  • Mostrare due pulsanti in evidenza che permettono all’utente di accettare o rifiutare i cookies.
  • Consentire agli utenti di scegliere quali categorie di cookie accettare o rifiutare.
  • Fornire i link alla Cookie Policy (informativa estesa che riguarda i cookies utilizzati dal sito web e che spiega come vengono utilizzati), e alla Privacy Policy (un’altra informativa estesa che riguarda i dati personali degli utenti e che spiega come vengono raccolti, utilizzati e protetti).

In questo modo sia l’eventuale consenso che il rifiuto al trattamento dei dati, da parte dell’utente sarà registrato, e non verrà più mostrato il cookie banner ad un successivo accesso al sito; tuttavia, è buona norma che il cookie banner sia attivabile dall’utente in qualsiasi momento, anche dopo che ha già espresso la sua scelta.

Cosa è il Cookie Banner - Immagine Concettuale.

Ma come si crea un cookie banner? Sebbene l’operazione sia facile, si consiglia di rivolgersi ad un web developer professionista che ricorrerà ad una CMP (Consent Management Platform, ovvero “Piattaforma per la Gestione del Consenso”): una piattaforma software che aiuta i siti web a gestire il consenso degli utenti per la raccolta dei loro dati personali, in conformità con le leggi sulla privacy come il GDPR.

Esistono diverse CMP che offrono sia piani free sia a pagamento per la conformità al GDPR, i prezzi variano a seconda delle esigenze e di conseguenza delle caratteristiche offerte; quale sia la CMP più conveniente da usare, può essere consigliata dal web developer.

Google Consent Mode

Google Consent Mode è uno strumento che permette ai servizi di Google (come Analytics o Ads) di adattarsi alle scelte dell’utente sui cookie.

In pratica si possono verificare due scenari diversi:

  • Se l’utente accetta, Google raccoglie i dati completi.
  • Se l’utente rifiuta, Google non usa i cookie ma riesce comunque a stimare alcune informazioni in forma anonima e statistica, grazie a modelli di intelligenza artificiale che colmano i vuoti lasciati dai dati mancanti.

A partire dal marzo 2024, l’implementazione della nuova versione, denominata “Google Consent Mode V2”, è obbligatoria per tutti i siti che utilizzano Google Ads o Google Analytics 4 (GA4) nell’Area Economica Europea (SEE).

Google Consent Mode V2 richiede, inoltre, l’uso di una CMP conforme per raccogliere e gestire le preferenze di consenso degli utenti.

Google Consent Mode - Immagine Concettuale.

Note

Da quanto è stato detto finora, risulta abbastanza chiaro che la conformità al GDPR, e con essa la tutela della privacy degli utenti, è un fattore molto importante, da non sottovalutare assolutamente nello sviluppo di un sito web, a meno che non si utilizzino strumenti come Google Analytics o Google Ads, ma se il secondo non è una risorsa indispensabile, il primo lo è sicuramente, e pertanto ecco che occorre un cookie banner solo per questo semplice motivo.

Diventa a questo punto doveroso dire che non è sufficiente mettere la classica casella di controllo con la scritta “Autorizzo il trattamento dei dati ai sensi dell’art….” alla fine di un modulo per l’invio di mail o per l’iscrizione ad una newsletter per sentirsi a posto con leggi e regolamenti comunitari; come abbiamo visto, occorre mettere a sistema una serie di accorgimenti tecnici per rendere un sito web conforme al GDPR.

A tale riguardo, faccio presente che ho acquisito delle buone competenze per la conformità al GDPR, che mi consentono di proporre soluzioni su misura per esigenze specifiche.

Per una maggiore sicurezza, si raccomanda, inoltre, di consultarsi con un legale di fiducia per approfondire casi specifici di tutela della privacy.

Per ricevere ulteriori informazioni potete contattarmi compilando l’apposito form.

Tags: , , , , , , , , , , , , , , ,
Categories: